据报道,ServiceNow平台被发现存在一个名为”Count(er) Strike”的新漏洞,该漏洞允许低权限用户从不应访问的表中提取敏感数据。ServiceNow是一个基于云的平台,广泛应用于公共部门、医疗、金融机构和大型企业,用于管理企业运营的数字工作流。
该漏洞由Varonis Threat Labs于2024年2月发现,并被分配了CVE-2025-3648标识,可能影响配置不当或过于宽松的ACL设置。ServiceNow在最近发布的Xanadu和Yokohama版本中推出了额外的访问控制框架以解决这一问题,但所有管理员仍需审查现有表以确保数据的妥善保护。
ServiceNow利用访问控制列表(ACL)来限制对其表中数据的访问。然而,之前的设置中,如果用户满足某一个ACL条件,即可获得访问权限,即使其他ACL会阻止他们也无妨。这种宽松的模型使得Varonis发现用户可以获得部分访问权限,甚至是记录计数,通过操纵URL过滤器,可以枚举记录内容。